Çinli bilgisayar korsanlığı grubu Deep Panda, ‘Fire Chili’ adlı yeni bir rootkit dağıtmak için Log4Shell açığıyla VMware Horizon sunucularını hedefliyor.
Rootkit, AV araçlarının algılamasını önlemek için Frostburn Studios’tan (oyun geliştiricisi) veya Comodo’dan (güvenlik yazılımı) bir sertifika kullanılarak dijital olarak imzalanır.
Deep Panda’nın son faaliyetlerini izleyen Fortinet’teki analistler, sertifikaların adı geçen yazılım geliştiricilerinden çalındığına inanıyor.
Deep Panda, siber casusluk operasyonlarına odaklanan kötü şöhretli bir Çinli APT’dir. uzun yıllar aktif şimdi. FBI vardı üyelerinden birini tutukladı Onu üç sıfır günlük güvenlik açığının sömürülmesiyle ilişkilendirdikten sonra 2017’de geri döndü.
Fire Chili rootkit
Fortinet tarafından yakın zamanda keşfedilen bir Deep Panda kampanyasında, bilgisayar korsanlığı grubu, güvenliği ihlal edilmiş sistemlerde tespit edilmekten kaçınmak için yeni ‘Fire Chili’ kök setini kullanıyor.
Rootkit, genellikle işletim sistemindeki diğer dosyaların ve yapılandırma ayarlarının varlığını gizlemek için çeşitli Windows API’lerini bağlayan bir sürücü olarak yüklenen kötü amaçlı yazılımdır. Örneğin, bir kök kullanıcı takımı, Windows programlama işlevlerini bağlayarak, verileri isteyen Windows programlarına kötü amaçlı dosya adlarını, işlemleri ve Kayıt defteri anahtarları API’lerini görüntülememek için verileri filtreleyebilir.
Saldırılarda, rootkit geçerli dijital sertifikalar tarafından imzalanır ve güvenlik yazılımı tarafından algılamayı atlamasına ve herhangi bir uyarı olmadan Windows’a yüklenmesine izin verir.
Başlatıldığında, Fire Chili, simüle edilmiş bir ortamda çalışmadığından emin olmak için temel sistem testleri gerçekleştirir ve işlem sırasında kötüye kullanılacak çekirdek yapılarının ve nesnelerinin mevcut olup olmadığını kontrol eder.
Fortinet, Fire Chili için desteklenen en son işletim sistemi sürümünün Nisan 2017’de yayınlanan Windows 10 Creators Update olduğunu bildiriyor.
Rootkit’in amacı, dosya işlemlerini, işlemleri, kayıt defteri anahtarı eklemelerini ve kötü niyetli ağ bağlantılarını kullanıcıdan ve güvenliği ihlal edilmiş makinede çalışıyor olabilecek herhangi bir güvenlik yazılımından gizli tutmaktır.
Bu gizleme işlevi için kötü amaçlı yazılım, kötü amaçlı yapılarla önceden doldurulmuş ve dinamik olarak yapılandırılabilen IOCTL’leri (giriş/çıkış kontrol sistemi çağrıları) kullanır.
Örneğin, kötü niyetli TCP bağlantılarını netstat’tan gizlemek için rootkit, cihaz yığınına yapılan rutin IOCTL çağrılarını durdurur, ağ bağlantılarının tam listesini alır, kendi kendisini filtreler ve son olarak temizlenmiş bir yapı döndürür.
Winnti örtüşüyor
Fortinet, en son Deep Panda kampanyasını incelerken, dijital olarak imzalanmış sertifikaları kullanmasıyla bilinen bir başka ünlü Çinli bilgisayar korsanlığı grubu olan Winnti ile birkaç örtüşme buldu.
Ayrıca, Winnti ısrarla bilinir oyun şirketlerini hedeflemeböylece başarılı kampanyalarından biri sırasında bu sertifikaları çalmış olabilirler.
“Bu araçların iki farklı grupla bağlantılı olmasının nedeni şu anda net değil. Grup geliştiricilerinin, çalınan sertifikalar ve C2 altyapısı gibi kaynakları birbirleriyle paylaşmış olması mümkündür. Bu, örneklerin neden yalnızca birkaç saat imzalandığını açıklayabilir. derlendikten sonra.” – Fortinet
Siber casusluğa odaklanan ve finansal kâr için çok fazla olmayan gelişmiş bilgisayar korsanlığı kolektiflerinin, hükümet işleyicileri tarafından desteklenmesi ve hatta koordine edilmesi daha olasıdır, bu nedenle bu örtüşme pek şaşırtıcı değildir.